이에 대해 검색했지만 답을 찾지 못했습니다. 내 도메인 사용자에게 내가 파일을 만들고 넣을 네트워크 공유 경로에서만 배치 파일을 실행할 수 있는 기능을 제공하고 싶습니다. GPO로 할 수 있나요?
답변1
Window 10에는 사용자가 배치 파일, 실행 파일 또는 앱을 실행하지 못하도록 제한하는 두 가지 기술이 있습니다. 먼저 나이가 많은 사람이 있습니다.소프트웨어 제한 정책둘째로 있어요앱락커
Windows 10 1803 소프트웨어 제한 정책은 다음과 같습니다.더 이상 사용되지 않음더 이상 권장되지 않으므로 Applocker로 제한하겠습니다.
GPO를 통해 Applocker 정책을 구현할 수 있으며 이를 사용하여 스크립트/exes/앱/dll을 제한하거나 허용할 수 있습니다.
"컴퓨터 구성" > "정책" > "Windows 설정" > "보안 설정" > "응용 프로그램 제어 정책" -> "Applocker"로 이동해야 하는 새 GPO를 생성해야 합니다.
시행
먼저 "규칙 적용 구성"에서 "스크립트 규칙"에 확인 표시를 설정해야 하며 "규칙 적용"과 "감사만" 중에서 결정할 수 있습니다.
규칙 적용은 컴퓨터가 규칙을 따르도록 하는 데 사용되는 반면, "감사만"은 현재 규칙이 실행을 차단하거나 허용하는지 여부를 나타내는 Windows 이벤트를 생성합니다. 규칙을 활성화하면 중요한 내용이 중단되는지 여부가 명확해질 때까지 "감사만"을 사용하는 것이 좋습니다.
규칙
거기에는 다양한 카테고리가 있습니다
- 실행 가능한 규칙
- Windows 설치 프로그램 규칙
- 스크립트 규칙
- 패키지된 앱 규칙
귀하의 경우에는 스크립트 규칙을 편집해야 합니다. 이러한 규칙은 예를 들어 ps1또는 bat파일(자세한 내용은 여기를 참조하세요.)
규칙 세트를 처음 편집할 때 Windows에서는 다음을 추가할지 묻는 메시지를 표시합니다.기본 규칙일반적으로 이러한 규칙은 어떤 것도 위반해서는 안 되며 너무 걱정하지 않고 추가할 수 있습니다.
Applocker 정책은 기본적으로 실패 종료됩니다.즉, 일반적인 사용 사례를 처리하도록 정의된 정책이 없으면 해당 정책이 차단됩니다!
그런 다음 "스크립트 규칙"을 마우스 오른쪽 버튼으로 클릭한 다음 "새 규칙 만들기..."를 클릭하여 새 규칙을 만들 수 있습니다.
규칙 생성 대화 상자는 다소 자명합니다. 당신이 원하는 것은 스크립트가 주어진 경로에서 실행되도록 허용하는 "경로 규칙"입니다.
\\server와 는 \\server.fqdn.com서로 다른 경로라는 점을 알아두세요.
Applocker 활성화
Applocker를 실행하려면 몇 가지 조건을 충족해야 합니다.
- GPO 1.1을 통해 관리하려면 Windows 10 Education 또는 Enterprise가 필요합니다. 그렇지 않은 경우에도 powershell을 통해 Applocker를 관리할 수 있습니다.
- "애플리케이션 ID 서비스"를 활성화하고 자동 시작해야 합니다.